眾所周知，根部用戶是KING，并且在Linux系統(tǒng)上發(fā)揮了無限特權(quán)。但是，非根系用戶僅限于基本任務。此外，僅授予Sudo用戶一定程度的根特權(quán)，因為根用戶認為擬合了執(zhí)行特定提升任務的符合。

當普通用戶無法控制地訪問資源或無意中扎根時，就會出現(xiàn)問題。這是一種嚴重的安全風險，可能導致違規(guī)，不希望的修改，并且在最壞的情況下，系統(tǒng)崩潰了。另一個潛在的風險是，何時文件的文件權(quán)限較低。例如，可以輕松修改或損壞的具有全局用戶的寫入權(quán)限的引導文件，從而導致系統(tǒng)破裂。

[您可能還喜歡：保護數(shù)據(jù)和Linux的有用技巧]

盡管我們可以實施物理，網(wǎng)絡和數(shù)據(jù)安全性，但惡意用戶可以規(guī)避安全措施并利用此類安全漏洞。因此，應認真對待文件系統(tǒng)安全性。面對攻擊或惡意員工的內(nèi)部威脅，它提供了額外的防御，而惡意員工的威脅不必在規(guī)避安全措施訪問文件的情況下進行繁重的工作。

在系統(tǒng)安全性中，我們將集中精力以下要點：

• 訪問權(quán)限 - 用戶和組權(quán)限。
• 使用PAM模塊執(zhí)行密碼策略。

訪問權(quán)限 - 用戶和組分離

您可能必須聽說Linux中的所有內(nèi)容都被視為文件。如果不是，那是一個過程。 Linux系統(tǒng)上的每個文件均由用戶和組用戶所有。它還具有3個用戶類別的文件權(quán)限：用戶（ U ），組（ G ）和其他（ O ）。在每個用戶類別的讀，寫和執(zhí)行（ RWX ）中，權(quán)限表示。

 RWX RWX RWX
用戶組其他

如前所述，在Linux Basics部分中，您可以使用LS命令的長格式查看文件權(quán)限，如圖所示。

 $ LS -L

只是回顧一下，權(quán)限通常由九個字符表示。前三個字符表示擁有文件的實際用戶的訪問權(quán)限。第二組字符表示文件的組所有者的權(quán)限。最后，為其他或全局用戶的最后一組。這些字符在讀，寫，執(zhí)行（ RWX ）順序中永遠存在。

權(quán)限之后，我們擁有用戶和組所有權(quán)，其次是文件或目錄大小，修改日期以及文件名稱。

更改文件/目錄權(quán)限和所有權(quán)

可以根據(jù)認為合適的方式修改文件和目錄的用戶權(quán)限。經(jīng)驗法則是使用最低特權(quán)安全原則。簡而言之，確保用戶獲得完成工作所需的最低訪問權(quán)限或權(quán)限。

最低特權(quán)的原則僅限于某些角色，并這樣做，從而最大程度地限制了攻擊者通過利用低杠桿用戶帳戶來訪問和修改關(guān)鍵數(shù)據(jù)的風險。如果攻擊者控制您的系統(tǒng)，它還可以減少攻擊表面并限制惡意軟件的傳播。

因此，如果用戶只需要查看文件或目錄的內(nèi)容，則不應授予他們執(zhí)行或?qū)懭霗?quán)限。在非?；镜膶用嫔?，僅授予用戶完成任務所需的最低權(quán)限和所有權(quán)。我們已經(jīng)解決了如何使用基本Linux命令主題中的Chmod和Chown命令在文件/目錄上修改用戶權(quán)限和所有權(quán)。

粘性許可模式

為了使系統(tǒng)管理員更容易地管理權(quán)限，可以授予整個目錄的特殊權(quán)限或訪問權(quán)限。可以應用于限制文件或目錄的刪除和修改的特殊權(quán)限之一是粘性位。

粘得

在系統(tǒng)或網(wǎng)絡中的所有用戶可以訪問共享目錄的情況下，某些用戶可以刪除或修改目錄內(nèi)的文件的潛在風險。如果您想維護目錄內(nèi)容的完整性，這是不希望的。這就是粘得的鉆頭進來的地方。

粘性位是文件或整個目錄上設置的特殊文件權(quán)限。它僅授予該文件/目錄的所有者刪除或更改文件或目錄內(nèi)容的權(quán)限。沒有其他用戶可以刪除或修改文件/目錄。它具有t的符號值，數(shù)值為1000 。

要打開目錄上的粘性位，請使用CHMOD命令如下：

 $ CHMOD T DITITORY_NAME

在下面的示例中，我們對稱為測試的目錄應用了一個粘性位。在目錄的情況下，所有內(nèi)容將繼承粘性位權(quán)限。您可以使用LS -LD命令驗證粘性位權(quán)限。請確保注意文件權(quán)限末尾的t符號。

 $ LS -LD測試

如果另一個用戶試圖刪除目錄或修改目錄內(nèi)的文件，則會以拒絕錯誤的限制。

這就是Stick Bit File許可的要旨。

監(jiān)視SUID和SGID權(quán)限

SUID （ SET用戶ID ）是另一個特殊的文件權(quán)限，允許另一個普通用戶使用文件所有者的文件權(quán)限運行文件。它通常用用戶的文件權(quán)限部分中的符號值s表示，而不是代表執(zhí)行權(quán)限的x表示。 SUID的數(shù)值為4000。

SGID （設置組ID）允許普通用戶繼承文件組所有者的組權(quán)限。您將在文件權(quán)限的組部分中看到s x而不是用于執(zhí)行權(quán)限。 SGID的數(shù)值為2000 。

盡管有任何方便，因此SUID和SGID權(quán)限與安全風險相關(guān)，應不惜一切代價避免。這是因為他們授予普通用戶的特殊特權(quán)。如果擺姿勢作為常規(guī)用戶的入侵者會遇到root用戶擁有的可執(zhí)行文件，其中設置了SUID位，則可以使用該漏洞并利用系統(tǒng)。

要在Linux中查找SUID位設置的所有文件，將查找命令作為root用戶運行。

 $ find / -perm -4000 type -f

對于目錄運行：

 $查找 / -Perm -4000類型-D

要找到所有使用SGID位設置運行的文件：

 $ find / -perm -2000 type -f

目錄執(zhí)行：

 $ find / -perm -2000類型-D

要刪除文件上的SUID位，請按照顯示的CHMOD命令運行：

 $ chmod us/path/to/file

要刪除文件上的SGID位執(zhí)行命令：

 $ CHMOD GS文件名/路徑/到/文件

使用PAM模塊執(zhí)行密碼策略

用戶設置弱密碼并不少見。一個很好的數(shù)字設置了簡短，簡單且易于猜測的密碼，以避免在登錄過程中忘記它們。盡管方便，但可以使用蠻力攻擊腳本輕松地破壞密碼。

PAM模塊（可插入身份驗證模塊）是一個模塊，該模塊允許系統(tǒng)管理員在Linux系統(tǒng)上執(zhí)行密碼策略。為此，您需要由libpam_pwquality庫提供的pam_pwquality模塊。 PAM_PWQUALITY模塊檢查密碼的強度與一組規(guī)則和系統(tǒng)詞典，并指出弱密碼選擇。

要在Ubuntu 18.04及以后的版本上安裝PAM_PWQUALITY模塊，請運行：

 $ sudo apt安裝libpam_pwquality

對于RHEL / CENTOS 8 ，運行命令：

 $ sudo dnf安裝libpwquality

配置文件在以下位置找到：

• 在Debian-Systems - /etc/pam.d/common-password上
• 在Redhat Systems - /etc/pam.d/system-auth上

配置密碼策略

在開始修改PAM配置文件之前，讓我們首先考慮收集有關(guān)密碼老化控件的見解。

密碼老化的詳細信息

這些可以在/etc/login.defs文件中找到。

該文件包含以下密鑰密碼控件：

• PASS_MAX_DAYS ：可以使用密碼的最大天數(shù)。
• PASS_MIN_DAYS ：最小數(shù)字。密碼更改之間允許的天數(shù)。
• PASS_WARN_AGE ：密碼到期之前給出警告的天數(shù)。

默認值如下所示。

PASS_MAX_DAYS屬性限制了用戶可以使用其密碼的天數(shù)。當達到此值或密碼到期時，用戶被迫更改其密碼以登錄系統(tǒng)。默認情況下，此值設置為99999 ，轉(zhuǎn)化為273年。就安全性而言，這沒有多大意義，因為用戶可以繼續(xù)使用其整個生命的密碼。

您可以將其設置為有意義的價值，如圖所示30天。

 PASS_MAX_DAYS 30

經(jīng)過30天后，用戶將被迫將其密碼更改為另一個密碼。

PASS_MIN_DAYS屬性將用戶可以在更改密碼之前可以使用其最小持續(xù)時間。這是什么意思？例如，如果此值設置為15天，則用戶將無法在15天之前再次更改密碼。

 PASS_MAX_DAYS 15

PASS_WARN_AGE屬性指定用戶將在其到期之前即將到期的任何天數(shù)。例如，如圖所示，您可以將其設置為7天。

 PASS_MAX_DAYS 7

注意：這些密碼控件與已有的帳戶無效。它們僅應用于定義規(guī)則后創(chuàng)建的新帳戶。

使用PAM模塊設置密碼復雜性

在編輯/etc/pam.d/common-password文件之前，請創(chuàng)建一個備份副本。在此示例中，我們創(chuàng)建了commun-password.bak備份復制文件。

 $ sudo cp /etc/pam.d/common-password /etc/pam.d/common-password.bak

然后打開文件。

 $ sudo vim /etc/pam.d/common-password 

找到下面顯示的線。

密碼要求pam_pwquality.so retry = 3

重試選項設置最多需要您在錯誤之前輸入正確密碼的次數(shù)。默認情況下，這將設置為3。這只是一個選項，我們將包括幾個選項。

將以下屬性添加到該行：

 minlen = 10 difok = 3 lcredit = -1 ucredit = -1 dcredit = -1 ocredit = -1 recubl_username 

讓我們充實這些屬性。

• MinLen = 10 ：設置密碼的最小可接受尺寸。在這種情況下，有10個字符。
• difok = 3 ：這是上一個密碼中存在的字符數(shù)量的最大數(shù)量。
• lcredit = -1 ：這是密碼中應存在的小寫字符的最小數(shù)量。
• ucredit = -1 ：是密碼中應存在的小寫字符的最大數(shù)量。
• dcredit = -1 ：密碼中應定義的數(shù)字字符的最小數(shù)量。
• ocredit = -1 ：特殊字符的最小數(shù)量，例如 @，＃，并且應在密碼中定義。
• reffect_username ：如果密碼是直接或反向格式的用戶名，則此選項會觸發(fā)密碼的拒絕。

如果您嘗試創(chuàng)建一個沒有密碼策略的新用戶，則將遇到如圖所示的錯誤。

概括

總體而言，這是關(guān)于系統(tǒng)安全和安全基礎的主題。在整個章節(jié)中，我們闡明了您可以實施的基本安全措施，以保護Linux系統(tǒng)免受惡意用戶（例如黑客或心懷不滿的員工）的影響。

以上是LFCA：如何改善Linux系統(tǒng)安全性 - 第20部分的詳細內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！